Vous devez vérifier que les champs qu'ils ont fournis se trouvent dans une liste/un tableau de champs dans lesquels vous autorisez la recherche. Ajoutez des backticks autour des noms de champs dans la requête pour plus de sécurité également. Faire ces deux choses empêchera toute injection via ces variables.
